Uwaga na fałszywe maile wysyłane rzekomo przez Urząd Skarbowy

Ostrzegamy - ci wszyscy, którzy otrzymają – lub już otrzymali i otworzyli - wiadomość pocztową, którego nadawcą jest Urząd Skarbowy, powinni koniecznie przeczytać ten news. Może to być bowiem próba oszustwa co oznacza iż wiadomość taka zawiera szkodliwy załącznik, którego nadawcą wcale nie jest Urząd skarbowy, ale haker.

Eksperci z firmy antywirusowej ESET wykryli dzisiaj falę takich wiadomości, którym towarzyszy złośliwy załącznik VBS/TrojanDownloader.Agent.RKY zawierający trojana o nazwie DanaBot. Przejmuje on kontrolę nad zainfekowanym komputerem i kradnie z niego poufne informacje, m.in. loginy i hasła dostępowe do polskich rachunków bankowych. Nadawcą wiadomości jest rzekomo Urząd Skarbowy, który zawiadamia odbiorcę maila o zamiarze wszczęcia wobec niego kontroli.

Wirus wysyłany jest za pośrednictwem poczty elektronicznej w mailach zatytułowanych „INFORMACJA O ZAMIARZE WSZCZECIA KONTROLI SKARBOWEJ” (pisownia oryginalna). Nadawcą wiadomości jest rzekomo Urząd Skarbowy. Informuje on użytkownika komputera, że nie udało mu się skontaktować z podatnikiem, dlatego wyznacza termin kontroli na 18 czerwca… 2016 roku! Skąd błąd w dacie? Czyżby to kopia pułapki sprzed lat i cyberprzestępcom śpieszyło się z wysyłką za bardzo?

Zobacz również:

Twórcy pułapki starają się uwiarygodnić swoje działania powołując się na przepisy prawa, cytują w treści: „art. 92a ustawy z dnia 13 pazdziernika 1998r. (Dz. U. z 2007 r., Nr 11, poz.74 z pózn. zm.)” (pisownia oryginalna). Powiadamiają odbiorcę o wymaganej obecności w terminie wskazanym przez „Urząd”.

Nadawcą jest niejaka mgr Marzena Fierek – być może faktycznie istniejący pracownik urzędu. Treść zachęca do zapoznania się z załącznikiem, będącym wykazem potrzebnych dokumentów do przeprowadzenia kontroli skarbowej. W rzeczywistości plik zawiera zagrożenie, które infekuje komputer trojanem bankowym, rejestrującym numer klienta i hasło dostępowe do rachunku bankowego swojej ofiary.

Przypomnijmy, że trojan DanaBot to żadna nowość. W czerwcu zeszłego roku był wykorzystywany przez cyberoszustów w kampanii spamowej, której nadawca podszywał się pod towarzystwo ubezpieczeniowe Ergo Hestia. Aktualnie mamy do czynienia z kolejną falą ataków, tym razem na klientów polskich banków. W przeszłości wirus atakował klientów banków z Włoch, Niemiec, Austrii, czy Ukrainy.

„DanaBot jest złożony z wielu elementów, tzw. wtyczek. Każda z nich odpowiada za jedną z funkcji trojana m.in. za możliwość łączenia się twórcy zagrożenia z komputerem ofiary i jego zdalne sterowanie, wstrzykiwanie złośliwego skryptu do przeglądarki, który uruchamia się w trakcie logowania do bankowości internetowej, zbieranie loginów i haseł z różnych aplikacji, czy instalację serwera proxy sieci TOR”, tłumaczy Kamil Sadkowski, starszy analityk zagrożeń w ESET.

Zagrożenie jest co prawda wykrywane i blokowane przez programy antywirusowe, ale nie zaszkodzi samemu wcześniej sprawdzić czy nie jest atak co oznacza, że poczty takiej nie należy otwierać.

Źródła: Dagma, ESET


TOP 200